0
我已經設置了splunk警報。但是,當應用程序服務器重新啓動時,會創建許多觸發這些警報的日誌條目。我希望忽略這些日誌條目或在應用程序服務器重新啓動時忽略警報。處理服務器重新啓動分段警報
能夠做到這一點,有沒有一種方法來註釋splunk時間軸?這樣我可以註釋時間線,當人們得到警報時,他們可以打開報告並看到服務器重新啓動。其他具有時間線的工具允許這種類型的註釋。
我已經設置了splunk警報。但是,當應用程序服務器重新啓動時,會創建許多觸發這些警報的日誌條目。我希望忽略這些日誌條目或在應用程序服務器重新啓動時忽略警報。處理服務器重新啓動分段警報
能夠做到這一點,有沒有一種方法來註釋splunk時間軸?這樣我可以註釋時間線,當人們得到警報時,他們可以打開報告並看到服務器重新啓動。其他具有時間線的工具允許這種類型的註釋。
實現「安全工作時間」的最佳方式是使用查找文件。 使用date_day date_hour類型的字段設置安全時間,然後使用servername作爲查找字段來獲取數據,然後使用where子句過濾掉安全時間。
查找文件
host safe_begin safe_end
myHost 1900 2200
查詢:
.... | where date_hour!>=safe_begin AND date_hour!<=safe_end
後,設置相應的警示。